Active Directory Wegewahl mit Standortverbindungen

[Shandurai 10]

Hallo NG

 

ich habe ein zwei Fragen zu Standortverbindungen und der Active Directory Wegewahl.

Eins unser Netzwerke besteht aus Hauptstandorte und daran angeschlossenen kleineren Branch-Offices... Jetzt ist es so, dass sich die Branch-Offices immer am nächstgelegenden Hauptstandort anmelden sollten (Ich glaube MS nennt unseren Netzwerkaufbau "Komplexes Netzwerk", hab ich in einem der guten blauen Bücher gelesen... Welches genau muss ich leider in den nächsten Tagen nachreichen, habs grad nicht am Platz)...

So, die Branch-Offices melden sich aber nicht am physikalisch nächstgelegenden Standort an, sondern an denen, die man im DNS sehen kann, meist der entfernteste ;-) und so werden teure Leitungen belegt, da auch andere "Transferstandorte" mit machen müssen... (da die Leitungen trotzdem erst zum nächstgelegenen Hauptstandort gehen, dann zu allen weiteren...)

 

Ich gehe davon aus, dass das einfach daran liegt, dass die Standorte alle mit der DefaultSiteIPLink Verbindung verknüpft sind... Diese Konfiguration bildet ja nicht den physischen Aufbau des Netzwerkes ab, sondern eher eine logische Matrix (?). Ich würde das nun gerne ändern, und hab wohl auch Ideen... z.B.:

Mal angenommen Hamburg und Berlin sind die Hauptstandorte... jetzt soll sich Flensburg primär an Hamburg anmelden... Ich würde eine neue Standortverknüpfung erstellen "FLE-HAM", beide Standorte hineinpacken und die Kosten 10 verteilen... Damit sollte doch diese Verbindung so reizvoll sein, dass HAM mit den DC's als primärer Standort verwendet wird...??? Da die DefaultSiteIPLink Kosten 100 hat und BER so zu "teuer" ist...

Falls BER trotzdem erreicht werden will, sind die Kosten 110? (Da HAM-BER standardmäßig Kosten 100)

 

Macht es Sinn mit Kosten 10 anzufangen? Eigentlich ist es doch egal, man muss nur durchrechnen, wie "teuer" die Leitung wird, wenn weiter zu anderen Standorten geroutet wird? Kosten addieren sich soweit ich weiß...

 

Dürfen diese addierten Kosten über 100 kommen?

 

Kann großartig was schiefgehen, wenn ich die DefaultSiteIPLink unangetastet lasse? Notfalls sollte doch diese Verbindung genommen werden, falls meine manuell erstellte nicht rund läuft?!

 

Gibt es ein Tool, welches mir anzeigt wie hoch die Kosten sind? Irgendwas was ich vielleicht auf einem CLient ausführen kann...

 

Puh alles sehr kompliziert, aber vielleicht steigt ja jemand durch ;-)

 

 

Gute Nacht, Andre

[woiza 10]

Hi,

 

ich würde analog zur physischen Netzstruktur die Sitelinks bauen und den DefaultIpSiteLink einfach leerräumen bis auf den ersten Standort. Eine Frage noch, haben die Branch Ofices denn überhaupt DCs? Denn sonst kannst du evtl. die Sites auch wegwerfen und die Zuordnung mit Subnetzen vornehmen.

 

Gruß

 

woiza

[Dirk_privat 10]

Servus,

 

wenn Du an den jeweiligen Standorten DC´s hast, solltest Du die Sitelinks anpassen. Laß die Default Site links wie sie sind, und nimm Deine neuen hinzu.

 

Gruß

Dirk

[woiza 10]

Hi,

 

was soll es bringen, alle Sites im DefaultIPSiteLink zu belassen?

[Christoph35 10]

@hemlock:

So ganz habe ich nicht verstanden, worum es dir hier geht. Sind es die Clients, die sich an einem falschen DC anmelden (z.B. Flensburger in Berlin), oder geht es Dir um die Replikationstopologie?

 

Christoph

[Shandurai 10]

hallo erstmal :)

 

@woiza

die branch-offices haben keine dc's, aber die standorte werden u.a. für diverse gpo's benötigt. die populärste sicherlich die proxyzuweisung... mit subnetzten wäre sonst auch meine lösung gewesen

 

@christoph

sorry, es geht um die clientanmeldung. die replikationstopologie ist zur zeit in ordnung, ich müsste dann mal nachher schauen, ob sich dann was geändert hat, wenn die sitelinks stehen

 

@dirk

ich hätte es jetzt auch so gemacht, sozusagen als "backup" (zumindest solange, bis ich sicher bin, dass meine topologie auch gut funktioniert)

 

 

danke erstmal!

[Christoph35 10]

Naja, ich wollte eigentlich in die gleiche Kerbe schlagen, wie Woiza. Nämlich, dass Du die Subnetze von FL dem Standort Hamburg zuweist, etc. Vielleicht lässt sich das mit den GPOs auch über OUs lösen, statt mit Standorten?

 

Christoph

[Daim 12]

Ich kann woiza nur zustimmen.

Bilde Deine Standorte Struktur der physikalischen Struktur ab.

Egal ob ein DC vor Ort existiert oder nicht, ein Standort gehört in jedemfall erstellt , wenn man mit solch einem Design arbeitet.

 

Weiteres entnimmst Du bitte hieraus:

Yusuf`s Directory - Blog - Domänencontroller am Standort

[woiza 10]

Hi Hemlock,

warum willst du die Branch Offices in dem DefaultSitelink lassen? Die replizieren doch eh nix. Ich würde sie da rausnehmen und dann von den "leeren" Sites die Verknüpfungen dorthin bauen, wo du dich anmelden möchtest.

 

Gruß

 

woiza

[Shandurai 10]

so, nochmal für interessierte ;)

entwerfen und einführen von active directory- und sicherheitsdienste für windows server 2003, seite 134, bild 3.2 -> die komplexe netzwerktopologie spiegelt unser netzwerk wieder. insgesamt haben wir mehrere nabenstandorte und diverse satellitenstandorte ohne dc's

 

@daim

yusuf's blog les ich gleich mal durch, danke!

 

@woiza

das war nur eine idee von mir, vielleicht hätte es bei einer fehlkonfiguration etwas gebracht?! aber ich schmeiß die dann raus ;)

 

 

grüße!

[Dirk_privat 10]

Servus,

 

aus Erfahrung gibt es teilweise Probleme wenn Du die Default Site links löscht. Es ist besser sie zu lassen und zusätliche links mit einer niedriegeren Priorität zu erstellen.

Auf jeden Fall sollte man für jeden Standort ein Subnetz erstellen und für jeden Standort mit DC eine Site. Das bedingt natürlich eine sauberes TCP/IP DNS Design.

 

Gruß

Dirk

[woiza 10]

Hi,

 

keiner sprach davon, die DefaultIPSiteLink zu löschen. Man kann auch einfach die Sites rauswerfen, die da drinstehen. Und man kann sehr wohl auch eine Site ohne DC erstellen. In dem Fall bekommen die Clients einen DC der verbundenen Site zugewiesen.

 

Gruß

 

woiza

[Dirk_privat 10]

Wenn Du für jedes Branch Office ein Subnet erstellst, dann fügst Du dem Subnet die Site zu an der sie sich anmelden soll. Was ist der Vorteil wenn Du eine Site ohne DC erstellst und dem Subnet keine Sites zuweist?

 

Das muß man aber auch nicht ausdiskutieren.

 

Gruß

Dirk

[woiza 10]

Hi dirk,

das ist die Alternative, imo auch die schönere Alternative. Falls du aber auf Siteebene GPOs verbinden willst, dann brauchst du eben ne Site. Klar könnte man auch OUs machen, dann sind wir aber beim Design, da habe ich zu wenige Infos, um was dazu zu sagen.

 

Gruß

 

woiza

[Shandurai 10]

Hallo

 

ich habe mir das nun so überlegt, dass ich die primäre Verbindung mit den Kosten 10 verbinde, eine sekündäre (falls der primäre Standort unerreichbar ist) mit Kosten > 10 und die Default-Verbindung so lasse wie sie ist... sie sollte ja eigentlich nicht verwendet werden, da die Kosten zu hoch sind... soviel zur Theorie. Ich muss das mal vorher in einer virtuellen Umgebung testen, ob das mit den Kosten so hinkommt...

 

Gibt es ein Tool was mir die Kosten angibt???

 

 

Danke und Grüße!